Witam,
Objawy zainfekowania:
Gdy odpalę komputer od razu procek skacze na 70-80% ram na jakieś 40% i wszystkie te zasoby zabiera własnie ten proces: winsvchost.exe. Za każdym razem gry zakończę ten właśnie proces uruchamia się ponownie zabierając bardzo dużo zasobów.
Wykonywane działania:
Komputer był skanowany Norton Internet Security, Malwarebytes'' Anti-Malware, dodawałem ten proces do kwarantanny ale nadal pustoszy moje zasoby w kompie.
Logi:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Proszę o pomoc i z góry dziękuję.
Odinstaluj:
IObit Malware Fighter
Do notatnika wklej:
Kod:
() C:\Users\Rysiek\Videos\napsnap.exe
() C:\Users\Rysiek\Videos\mfcmifc.exe
HKLM-x32\...\Winlogon: [Userinit] C:\Windows\SysWOW64\userinit.exe, [x]
HKCU\...\Run: [iLivid] - "C:\Users\Rysiek\AppData\Local\iLivid\iLivid.exe" -autorun
HKCU\...\RunOnce: [MFC Managed Interfaces Library] - C:\Users\Rysiek\Videos\mfcmifc.exe [17920 2013-11-23] ()
HKCU\...\Run: [AdobeUpdate] - C:\Users\Rysiek\AppData\Roaming\Adobex86x\invis.vbs [78 2012-07-02] ()
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=nis&pvid=21.1.0.18
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=SamsungXSSDX840XSeries_S14CNEACA13899B&ts=1380490115
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=SamsungXSSDX840XSeries_S14CNEACA13899B&ts=1380490115
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=SamsungXSSDX840XSeries_S14CNEACA13899B&ts=1380490115
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://securityresponse.symantec.com/avcenter/fix_homepage/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.1.0.18
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://securityresponse.symantec.com/avcenter/fix_homepage/
CHR RestoreOnStartup: "hxxp://www1.delta-search.com/?babsrc=HP_ss&mntrId=261B88532E506AC8&affID=119821&tsp=4950", "hxxp://websearch.searchboxes.info/?pid=500&r=2013/07/25&hid=133100328&lg=EN&cc=PL&unqvl=28"
C:\Users\Rysiek\AppData\Local\Temp\28487.exe
C:\Users\Rysiek\AppData\Local\Temp\42557.exe
C:\Users\Rysiek\AppData\Local\Temp\44377.exe
C:\Users\Rysiek\AppData\Local\Temp\79328.exe
C:\Users\Rysiek\AppData\Local\Temp\8787.exe
C:\Users\Rysiek\AppData\Local\Temp\91621.exe
C:\Users\Rysiek\AppData\Local\Temp\NEwBSDynDNS.exe
2013-11-17 17:42 - 2013-11-17 17:42 - 01645408 _____ (Bandoo Media Inc) C:\Users\Rysiek\Downloads\iLividSetup-r484-n-bc (1).exe
2013-11-17 17:39 - 2013-11-17 17:39 - 01645408 _____ (Bandoo Media Inc) C:\Users\Rysiek\Downloads\iLividSetup-r484-n-bc.exe
2013-11-12 18:55 - 2013-11-12 18:55 - 01628536 _____ (Bandoo Media Inc) C:\Users\Rysiek\Downloads\iLividSetup_A-r484-t-bc.exe
2013-11-17 17:42 - 2013-11-17 17:42 - 01645408 _____ (Bandoo Media Inc) C:\Users\Rysiek\Downloads\iLividSetup-r484-n-bc (1).exe
2013-11-17 17:39 - 2013-11-17 17:39 - 01645408 _____ (Bandoo Media Inc) C:\Users\Rysiek\Downloads\iLividSetup-r484-n-bc.exe
2013-11-12 18:55 - 2013-11-12 18:55 - 01628536 _____ (Bandoo Media Inc) C:\Users\Rysiek\Downloads\iLividSetup_A-r484-t-bc.exe
Zapisz jako
fixlist.txti umieść obok
FRST
Następnie w programie kliknij
Fix ,po wykonaniu pokaż raport.
Ściągnij program
[Aby zobaczyć linki, zarejestruj się tutaj]
i uruchom
AdwCleanerz opcji
Clean .
pokaż raport i napisz czy nadal jest problem.
Raport z FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Raport z AdwCleaner
[Aby zobaczyć linki, zarejestruj się tutaj]
Problem został jak narazie rozwiązany, zobaczymy w późniejszym czasie.
Dzięki wielkie i pozdro.
Ściągnij TFC i kliknij start
[Aby zobaczyć linki, zarejestruj się tutaj]
Jeśli po jego wykonaniu w metro nie będzie się chciała uruchomić pogoda czy ie to
klik
alt-ctrl-delete>
menadżer zadań> na liście procesów znajdź
explorer.exez prawokliku
zakończ zadanie ,następnie na samej górze klik w opcje
Plik>
Uruchom nowe zadaniei wpisz
C:\Windows\explorer.exei klik
ok
w AdwCleaner klik Odinstaluj